인스트럭처, 캔버스 해커에게 도난된 학생 데이터 삭제 비용 지급

출처: Slashdot

사건 개요

Instructure는 널리 사용되는 Canvas 학습 플랫폼을 제공하는 회사로, 3.5테라바이트에 달하는 학생 및 대학 데이터를 탈취한 해커들과 합의에 도달했다고 밝히고 있다. 회사는 해당 정보가 **디지털 확인을 통해 파기되었다는 증거를 받았다**고 전했으며, 영향을 받은 학교와 학생들이 협박당하지 않을 것이라고 밝혔다.

BBC는 다음과 같이 보도했다: 사이버 범죄자에게 금전을 지급하는 것은 전 세계 법 집행 기관들의 조언에 반하는 행위이며, 이는 추가 공격을 부추길 수 있고 데이터가 실제로 삭제되었는지 보장하지 않는다. 이전 사례들에서는 범죄자들이 몸값을 받고도 데이터를 파기했다고 거짓말을 하고, 대신 재판매를 위해 데이터를 보관한 경우가 있었다. 예를 들어, 악명 높은 LockBit 랜섬웨어 그룹이 영국 국가범죄청(National Crime Agency)에 의해 해킹당했을 때, 경찰은 몸값이 지급된 후에도 탈취된 데이터가 삭제되지 않았음을 확인했다.

Instructure는 웹사이트에 올린 성명에서 학생 및 교육 직원 데이터 보호가 가장 큰 동기였다고 밝혔다.

“사이버 범죄자를 상대할 때 절대적인 확신을 가질 수는 없지만, 가능한 한 고객에게 추가적인 안심을 제공하기 위해 우리가 통제할 수 있는 모든 조치를 취하는 것이 중요하다고 판단했습니다.”라고 회사는 전했다.

Instructure는 합의 조건을 공개하지 않았지만, 다음과 같은 내용이 포함된 것으로 전했다:

• 데이터가 회사에 반환되었다
• “데이터 파기에 대한 디지털 확인”을 받았다
• 이번 사건으로 인해 Instructure 고객이 협박당하지 않을 것이라는 통보를 받았다
• 합의는 모든 영향을 받은 고객을 포괄하며, 개인이 해커와 직접 교섭할 필요가 없도록 했다